Я пытаюсь определить возможные уязвимости в возможной реализации сайта.IP Spoofing и AntiForgeryTokens
Нам нужно определить, входит ли пользователь в учетную запись на сайте с локального IP-адреса или внешнего. Я знаю, что IP-адрес может быть подделан, хотя спутник не сможет получить много информации.
Я думал, что человек может подделать локальный IP-адрес, выполнить пост-действие, чтобы изменить данные на сервере, хотя это было бы трудно (предсказывая порядковые номера).
Если на сайте были использованы маркеры проверки достоверности всех почтовых запросов, это может помочь. В частности, я использую AntiForgeryToken .Net MVC 4. Я не уверен, как токен вводится пользователем.
Мой вопрос в том, что сапунда попала на страницу, как правило, чтобы получить токен, затем подделала свой IP-адрес и использовала токен, чтобы сделать сообщение, будет ли это успешным?
Я знаю, что мы попадаем в царство неправдоподобного, но ... Может быть, пример может помочь. Скажем, когда пользователь регистрируется в приложении, обнаруживает IP (не используя HTTP_X_FORWARDED_FOR) и устанавливает сеанс как локальный или удаленный. Может ли злоумышленник загружать экран входа в систему, получать токен, подделывать свой IP-адрес (предположим, что он может определить порядковый номер и пост), а затем опубликовать логин с этим IP-адресом, установив их как локальный?
Любое понимание будет оценено по достоинству.
Спасибо, брандмауэр Phillip